三位一体の対策を – IPAが標的型攻撃に注意喚起

IPAによる注意喚起

標的型攻撃メールを起因とした個人情報流出の事案が後を絶ちません。
この状況に対し情報処理推進機構(IPA)は、大規模な情報漏えいに繋がりかねない企業を狙う標的型攻撃に対応するために、リテラシの向上適切な運用管理セキュアなシステムの構築 の三位一体で対策をする必要があると企業・組織に対して注意喚起を行いました。

参考リンク:
【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を → 外部リンク


リテラシの向上・適切な運用管理 という側面から

メールに対する警戒意識の向上と維持

      非常に巧妙化している標的型攻撃メールの文面・タイトル等の内容に対し、従業員に定期的な教育を行い、攻撃メールに対する警戒心の向上・維持を図ることを勧めています。
      また、誤ってメールを開いてしまった場合も含めた、従業員から所定の担当部門への報告訓練などにも言及されています。

受信メールの真正性を保証する仕組みの導入

      なりすましメールへの対応策として「送信ドメイン認証」(SPF・DKIM)などメールの真正性を保証する仕組みの導入も検討に値する…としています。

セキュアなシステムの構築・適切な運用管理 という側面から

個人情報を保有するデータベースをインターネットにアクセスするネットワークから切り分ける

      ことが必要…としています。
      また、不審な添付ファイルを開かなければならない場合については、仮想環境で開くなど添付ファイル確認用の環境のシステム面での整備も検討を要する…としています。

スパムメールに対するセキュリティ的考察

個人情報流出

旅行代理店大手JTB(ジェイティービー)が、6月14日 氏名や住所・電話番号・パスポート番号などを含む顧客情報を不正アクセスにより流出した可能性があると発表しました。

参考リンク:
不正アクセスによる個人情報流出の可能性について → 外部リンク

今回発生した事例では、「取引先を装ったメール」により偽の添付ファイルを開かせることでウイルスに感染させるという「標的型攻撃」と呼ばれる手口が使われていたようです。

スパムメール – 標的型攻撃

「標的型攻撃」でターゲットに送信されるメールは「スパムメールとわかりにくく」なってきています。
特定の企業や団体、組織を狙い、ウェブ上に公開されている組織の情報を用いたり、実在する企業名や担当者を用い、メールヘッダーを偽装することで、見かけ上本物の業務メールのように見える点が特徴で、メールの内容も「お世話になっております」など一般的にビジネスで使われる文章を使い、スパムメールに気をつけていても見分けがつかないほど巧妙に作成されている場合が多くなってきました。

標的型攻撃のここから先の流れは、

  • 偽装された添付ファイルを開かせることでウイルスに感染させるパターン(主流)
  • 悪意を持ったURLへのアクセスを誘導するパターン

となってきます。

スパムメール – ばら撒き型攻撃

また「標的型攻撃」に似た手法として「ばら撒き型攻撃」という手法も存在します。
「ばら撒き型攻撃」は標的型攻撃のように特定の企業や団体を標的にしたものではなく、不特定多数のメールアドレスに向けて発信され、個人のメールアドレス宛てに届くメールでも、ウイルス感染のリスクが増えてきました。

メールのセキュリティ向上 – 送信ドメイン認証(SPF・DKIM)

このように「スパムメール」を配信する悪質な利用者は「他者に成りすます」ことで自分たちの目的を遂行します。
ではどのようにすれば、自社に成りすまされることがなく、自社の顧客を守ることができるのか?
この問いに答えるのが「送信ドメイン認証」という技術(SPF・DKIM)です。

「自社のサーバーから送信した」ことを証明する「送信ドメイン認証」(SPF・DKIM)を実装したサーバーからメールを送信することは、「自社であること」を証明します。
言い換えれば「他社の証明されていないメール」は「スパムである」ことを証明することに繋がります。

自社のドメインを「送信ドメイン認証」に対応させることにより、自社とお客様を守るという需要はますます増えきます。
顧客の信用は、自社のセキュリティ向上により守るのです。

注:今回のJTBの事案では、メールに対するセキュリティ向上だけではなく、社内のネットワークについてのセキュリティ向上も必要となってくる可能性もあります。本文が長くなりますので、本投稿ではこの内容を扱いません